Die Digitalisierung des Schulalltags durch Lern-Apps, digitale Lehrmittel und Schulverwaltungssoftware bringt datenschutzrechtliche Anforderungen und Fragen zu Datennutzung mit sich. Datenschutzgrundsätze wie Legalitätsprinzip, Zweckbindung oder Transparenz sind im Bildungsbereich besonders relevant – auch aufgrund des Schutzbedarfs der Schülerinnen und Schüler sowie ihrer abhängigen Stellung gegenüber der Schule.

Im öffentlich-rechtlichen Bereich – also auch im Bildungswesen – zählt jede Form der Anschaffung, vom kostenlosen App-Download bis zur kantonalen Verwaltungssoftware, als Beschaffung. Die Beschaffung bietet eine wertvolle Möglichkeit, Datenschutzvorgaben und Datennutzungsanforderungen frühzeitig und verbindlich gegenüber Dienstanbietern durchzusetzen. Aktuell wird dieses Potenzial im Bildungssystem noch zu wenig bis gar nicht ausgeschöpft.

Datenschutz und Datennutzung einfordern

Datenschutzrechtliche Vorgaben und Datennutzungsanforderungen werden in Beschaffungsprozessen berücksichtigt, indem sie im Vorfeld als Standard definiert werden. Als Standard werden sie im Beschaffungsprozess verhandlungsstrategisch, mittels Pflichtenheft sowie bei der Definition von Eignungskriterien und Zuschlagskriterien wirksam durchgesetzt. Wie diese Kriterien und das Pflichtenheft in der Beschaffung strategisch eingesetzt werden können, hängt unter anderem auch vom anzuwendenden Beschaffungsverfahren (vgl. Info-Box) ab.

Beispiele für zwingende Anforderungen, die über die Beschaffung im Bildungswesen künftig eingefordert werden könnten, sind: 

  • Bei der Beschaffung von Applikationen im Bildungssystem ist die Integration in eine föderierte Identitätsinfrastruktur als zwingende Anforderung zu formulieren.
  • Ebenso sind weitergehende Datennutzungsanforderungen – wie Portabilität, Interoperabilität, Barrierefreiheit und Nachhaltigkeit einzufordern.
  • «Privacy by Design» und «Privacy by Default» sind Datenschutzgrundsätze, auf die vor allem im Bildungskontext nicht verzichtet werden kann.

Die Forderung nach datenschutzfreundlichen und datensparsamen Produkten bei der Beschaffung hat eine langfristige Wirkung. Dienstanbieter werden dadurch damit beginnen, Produkte herzustellen, welche die gestellten Vorgaben und Anforderungen erfüllen.

Beschaffungsverfahren

Das Beschaffungsverfahren beschreibt den rechtlichen Prozess, wie eine Organisation Waren oder Dienstleistungen einkauft.

Dabei gibt es die freihändige Vergabe, das Einladungsverfahren, das selektive und das offene Verfahren. Welches Verfahren zur Anwendung kommt, hängt hauptsächlich vom Auftragsvolumen ab. Je Verfahrensart bestehen unterschiedliche formale Anforderungen (vgl. Interkantonale Vereinbarung über das öffentliche Beschaffungswesen IVöB).

Koordination und Austausch stärken

Angesichts zunehmender Komplexität, rechtlicher Vorgaben und des Professionalisierungsbedarfs bei der Beschaffung von Applikationen ist eine koordinierte Zusammenarbeit mehrerer Akteure sinnvoll und notwendig. Damit entsteht einerseits eine bessere Verhandlungsmacht des Bildungssystems gegenüber Dienstanbietern. Andererseits kann die Umsetzung von Datenschutzvorgaben und Datennutzungsanforderungen auch bei kleineren Volumen verlangt werden.

Um das Potenzial gemeinsamer Beschaffungen besser zu nutzen, sollte eine «Community of Practice (CoP)» aufgebaut werden. Diese ermöglicht den fachlichen Austausch zu Themen wie Beschaffungsvorhaben, Pflichtenheften, Marktanalysen und Koordinationsmassnahmen. In einer solchen CoP können Wissen und Good Practices gebündelt, Synergien erschlossen, Standards definiert sowie Datenkompetenzen gestärkt und Sensibilisierungen gefördert werden. Der Wissensaustausch kann über eine zentrale Plattform ermöglicht werden.

Zudem gilt es, Beschaffungen vermehrt zu koordinieren. Organisationen wie eOperations Schweiz sollten gezielt zur Steuerung kantonsübergreifender Beschaffungen im Bildungsbereich eingesetzt werden, um durch gebündelte Marktmacht datenschutzrechtliche und datenbezogene Anforderungen wirksamer durchzusetzen. 

Voraussetzungen für eine erfolgreiche Umsetzung

Die folgenden Voraussetzungen sind für eine wirkungsvolle Integration von Datenschutz und Datennutzung in den Beschaffungsprozesse zentral:

  1. Datenkompetenzen bei Beschaffungsverantwortlichen fördern: Schulungen, Sensibilisierung und ein vertieftes Verständnis von Datenschutz und Beschaffungsrecht sind insbesondere bei den Beschaffungsstellen unerlässlich.
  2. Lebenszyklusorientierte Prüfung von Applikationen: Vor und nach der Beschaffung müssen Datenschutzvorgaben und Datennutzungsanforderungen auf neue Datenschutzrisiken sowie Datennutzungsmöglichkeiten überprüft werden (vgl. auch «Datenschutzkonforme Schule»).

Fazit

Die Integration von Datenschutz und Datennutzung in die Beschaffung bietet grosses Potenzial, digitale Lösungen im Bildungsbereich rechtssicher, nachhaltig und wirkungsvoll zu gestalten. Voraussetzung dafür sind verbindliche Kriterien, qualifizierte Akteure und eine stärkere Zusammenarbeit über institutionelle Grenzen hinweg. So kann die Beschaffung zum zentralen Steuerungsinstrument für eine datenschutzkonforme und zukunftsfähige digitale Bildung werden.

 

Weiterführende Links